近日,官方公开了Apache Tomcat HTTP/2拒绝服务漏洞,该漏洞是由于应用服务允许接收大量的配置流量,并且客户端在没有读写请求的情况下可以长时间保持连接而导致。如果来自客户端的连接请求过多,最终可导致服务端线程耗尽,攻击者成功利用此漏洞可实现对目标的拒绝服务攻击。
Tomcat是Apache软件基金会中的一个重要项目,性能稳定且免费,是目前较为流行的Web应用服务器。由于Tomcat应用范围较广,因此此次通告的漏洞影响范围较大,请相关企业引起关注。国内在公网开放的Tomcat资产数量超过60万之多。
官方在新版本Apache Tomcat 9.0.16、8.5.38中修复了该漏洞,请受影响的用户尽快升级,最新版下载链接可参考以下列表,可根据具体的系统环境下载对应的安装包:
| 版本 | 下载链接 |
| Apache Tomcat 9.0.16 | https://tomcat.apache.org/download-90.cgi |
| Apache Tomcat 8.5.38 | https://tomcat.apache.org/download-80.cgi |
注意:建议用户在升级之前,做好数据和运行环境的备份工作,防止升级带来系统不可用的风险。
评论已关闭。
豫公网安备 41010502004035号 
